クリーンルームの作成
プレビュー
この機能はパブリックプレビュー段階です。
この記事では、複数の関係者が互いのデータに直接アクセスすることなく、機密性の高いエンタープライズ データで共同作業できる、安全でプライバシー保護の環境であるクリーン ルームを作成する方法について説明します。
始める前に
クリーンルームの使用に必要な権限は、タスクによって異なります。
クリーンルームを作成するには、
CREATE CLEAN ROOM
権限を持っているか、メタストア管理者である必要があります。 作成者は、Unity Catalog メタストア内のクリーン ルームの所有者として自動的に割り当てられます。共有されているクリーン ルームへの参加を開始するには、メタストア管理者である必要があります。
クリーンルームを共有すると、コラボレーター組織のメタストア管理者にクリーンルームの所有権が自動的に割り当てられます。 メタストア管理者は、メタストア管理者以外の人に所有権を再割り当てできます。 データガバナンスのベスト プラクティスとして、 Databricks所有権をグループに割り当てることをお勧めします。
ワークスペースにメタストア管理者が割り当てられていない場合は、ロールを割り当てる必要があります。 「メタストア管理者の割り当て」およびUnity Catalogオブジェクトの所有権の管理」を参照してください。
クリーン ルームでデータ アセットとノートブックを追加および削除するには、クリーン ルームの所有者であるか、クリーン ルームに対する
MODIFY CLEAN ROOM
権限を持っている必要があります。 さらに、あなたとクリーンルームの所有者 (所有者でない場合) は、追加するテーブルにSELECT
を持ち、追加するボリュームにREAD VOLUME
する必要があります。
クリーン ルームを更新し、クリーン ルームでタスク (ノートブック) を実行するためのアクセス許可要件については、 「クリーン ルームの管理」および「クリーン ルームでのノートブックの実行」を参照してください。
メタストアごとに最大 5 つのクリーン ルームを作成できます。
ステップ 1. コラボレーターの共有識別子をリクエストします
クリーンルームを作成する前に、協力する組織のクリーンルーム共有識別子が必要です。 共有識別子は、組織のグローバルメタストア ID + ワークスペース ID + 連絡先のユーザー名 (Eメール アドレス) で構成される文字列です。 コラボレーターは、任意のクラウドまたはリージョンに配置できます。
コラボレーターに連絡して、共有識別子をリクエストします。
コラボレーターは、「 共有識別子を検索する」の手順を使用して共有識別子を取得できます。
ステップ 2. クリーンルームを作成する
クリーンルームを作成するには、カタログエクスプローラーを使用する必要があります。
Databricks ワークスペースで、カタログをクリックします。
[クイック アクセス] ページで、[クリーン ルーム] >ボタンをクリックします。
または、[ カタログ ] ウィンドウの上部にある 歯車アイコンをクリックし、[ Clean Rooms ] を選択します。
「Create Clean Room」をクリックします。
[ Create Clean Room ] ページで、クリーン ルームのわかりやすい名前を入力します。
名前には、スペース、ピリオド、スラッシュ (/) を使用できません。
クリーンルーム名は、一度保存すると変更できません。 コラボレーターが便利で説明的だと感じる名前を使用してください。
中央クリーン ルームを作成するクラウド プロバイダーとリージョンを選択します。
クラウド プロバイダーは現在のワークスペースと同じである必要がありますが、リージョンは異なります。 選択する際には、組織のデータ保存場所やその他のポリシーを考慮してください。
(オプション)コメントを追加します。
コラボレーターの クリーンルーム共有識別子を入力します。
自分(作成者)と共同作業者に割り当てられたカタログ名をメモします。
クリーン ルームに追加されたすべてのデータ アセットは、中央クリーン ルームのそのカタログの下に表示され、 Unity Catalog 3 レベルの名前空間 (
<catalog>.<schema>.<table-etc>
) でそのカタログを使用して参照できます。
「Create Clean Room」をクリックします。
ステップ 3. データ資産とノートブックをクリーン ルームに追加する
クリーン ルーム内のどちらの当事者 (作成者と共同作業者) も、クリーン ルームにテーブル、ボリューム、ノートブックを追加できます。
必要な権限:
あなたは所有者であるか、クリーンルームの
MODIFY CLEAN ROOM
権限を持っている必要があります。あなたとクリーンルームの所有者 (所有者でない場合) は、親カタログとスキーマの
USE CATALOG
とUSE SCHEMA
と共に、追加する任意のテーブルとREAD VOLUME
ボリュームにSELECT
を持っている必要があります。クリーンルームの所有者は、クリーンルームの寿命を通じてこれらの特権を維持する必要があります。
注:
次の手順では、アセットを追加するために、すでに作成されたクリーンルームに戻ることを前提としています。 クリーン ルームを初めて作成した場合は、ウィザードの指示に従ってデータ アセットとノートブックを追加します。 これらのアセットを追加するための実際の UI は、ウィザードにガイドされているかどうかに関係なく同じです。
アセットを追加するには:
Databricks ワークスペースで、カタログをクリックします。
[クイック アクセス] ページで、[クリーン ルーム] >ボタンをクリックします。
または、[ カタログ ] ウィンドウの上部にある 歯車アイコンをクリックし、[ Clean Rooms ] を選択します。
更新するクリーンルームの名前を見つけてクリックします。
データアセット (テーブルとボリューム) を追加するには、 [+ データアセットの追加 ] ボタンをクリックします。
共有するテーブルとボリュームを選択し、 [ データ資産の追加] をクリックします。
テーブルまたはボリュームを共有する場合は、オプションでエイリアスを追加できます。 エイリアス名は、クリーンルームで見える唯一の名前になります。
テーブルを共有する場合、オプションでパーティション句を追加して、テーブルの一部のみを共有できるようにすることができます。 パーティションを使用して共有する内容を制限する方法の詳細については、「 共有するテーブルパーティションの指定」を参照してください。
ノートブックを追加するには、 [+ ノートブックの追加]ボタンをクリックし、追加するノートブックを参照します。
必要に応じて、ノートブックに別のノートブック名を付けることができます。
クリーン ルームで共有するノートブックは、自分と他の共同作業者がクリーン ルームに追加したテーブルとボリュームに対してデータを照会し、データ分析ワークロードを実行します。
ノートブックは暗黙の承認の原則に基づいて動作します。作成したノートブックを実行することはできません。 共同作業者が使用するノートブックはあなたが作成し、共同作業者はあなたが使用するノートブックを作成します。
結果を含むノートブックを共有すると、その結果は共同作業者と共有されます。
ノートブックを使用して、ノートブックを実行するときにコラボレーターのメタストアに一時的に共有される 出力テーブル を作成できます。 「Databricks クリーンルームでの出力テーブルの作成と操作」を参照してください。
重要
クリーン ルームに追加されたテーブルまたはボリュームへのノートブック参照では、クリーン ルームの作成時に割り当てられたカタログ名を使用する必要があります (クリーン ルームの作成者が追加したデータ資産の場合は「作成者」、招待された共同作業者が追加したデータ資産の場合は「共同作業者」)。 たとえば、作成者が追加したテーブルに
creator.sales.california
という名前を付けることができます。同様に、ノートブックがクリーン ルームのデータ資産に割り当てられたエイリアスを使用していることを確認します。